La cybersecurity non va in vacanza

Articolo
Lorenzo Principali
cybersecurity

Lo scampato pericolo dell’attacco all’Agenzia delle Entrate non deve illuderci riguardo alla cybersecurity. Il rischio cyber esiste e probabilmente esisterà sempre di più in futuro, per via del progressivo passaggio di un numero sempre maggiore di attività umane nel dominio del digitale. La buona notizia è che, verosimilmente, tale rischio verrà mitigato in misura sempre maggiore, fino al punto da renderlo “gestibile” e in qualche modo “tollerabile”. È quanto si desume dalla lettura combinata dell’ultimo episodio di attacco alla luce dei dati più recenti sul settore della cybersecurity.
Ad esempio, il report Enisa pubblicato lo scorso 27 luglio e dedicato alla sicurezza nelle tlc mostra come, a livello europeo, gli incidenti informatici derivanti da azioni malevole siano passati, tra il 2020 e il 2021, dal 4% all’8% del totale. In quest’ultimo lasso di tempo si è verificato un significativo aumento degli attacchi DDoS (Distributed Denial of Service, operazioni in cui i malintenzionati infettano una serie di computer e li utilizzano per svolgere attacchi combinati). Nel dettaglio, questi attacchi hanno provocato la perdita di 55 milioni di ore lavorative rispetto ad appena 1 milione di ore perse nel 2020.
Allo stesso tempo, si osserva come le criticità dovute agli attacchi informatici costituiscano una componente assolutamente minoritaria delle cause degli incidenti informatici (il già citato 8% del totale) ed una componente anche più piccola in termini di ore lavorative perse: appena l’1%, così come i fenomeni naturali, laddove i cosiddetti system failures sono costati il 7% delle ore totali perse e gli errori umani addirittura il 91% (prevalentemente aggiornamenti problematici di software o sostituzioni imperfette di hardware).

FONTE: ENISA -Telecom Annual Incident Reporting 2021

IL PRESUNTO ATTACCO ALL’AGENZIA DELLE ENTRATE

Lo scorso lunedì, LockBit (la gang di hacker che attualmente primeggia nel campo dei ransomware) ha pubblicato nel dark web la notizia di aver sottratto 78 giga byte di dati targati Agenzia delle Entrate. Inoltre, il gruppo hacker ha intimato di pagare un riscatto entro cinque giorni per la restituzione di documenti, pena la loro cifratura e pubblicazione, nel classico schema del ransomware. Tale notizia è stata riportata alla stampa da Swascan, società specializzata in cybersicurezza.
Fortunatamente Sogei, la partecipata pubblica incaricata della gestione delle infrastrutture informatiche dell’Agenzia delle Entrate, non ha rilevato alcuna intrusione. Infatti, giovedì 28 luglio, lo studio Gesis ha dichiarato che i dati su cui LockBit ha posto il riscatto non provengono da server dell’Agenzia delle Entrate ma da un server della stessa Gesis. L’azienda ha sottolineato di essere stata oggetto di un tentativo di intrusione hacker finalizzato alla criptazione dei file ed esfiltrazione di dati, con relativa richiesta di riscatto. Allo stesso tempo, Gesis ha sottolineato come i sistemi di backup e di antintrusione abbiano evitato qualsiasi perdita di dati e limitato l’esfiltrazione di dati ad una minima parte, sembrerebbe intorno al 7% dei dati, dei quali circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili. Pertanto, secondo Gesis, non risultano conseguenze significative sulle attività aziendali e sui loro clienti, che sono stati allertati insieme alle autorità.

 

 

TUTTO BENE CIÒ CHE FINISCE BENE?

Queste buone notizie non dovrebbero lasciarci andare a facili entusiasmi. La minaccia cyber risulta infatti in continuo aumento sia a livello globale che a livello italiano. I dati Clusit mostrano un continuo aumento degli attacchi “gravi” nel mondo, arrivati a quota 2.049 lo scorso anno e cresciuti di oltre l’80% tra il 2017 e il 2021.
In questo contesto, una minaccia in via d’espansione è rappresentata proprio dai ransomware, software malevoli che, una volta installati nei sistemi informatici dei target, criptano ed esfiltrano i dati chiedendo un riscatto per essere sbloccati e non pubblicati.
Secondo le rilevazioni condotte da Swascan, nel secondo trimestre del 2022 gli attacchi di questo tipo sono stati 707, in crescita di oltre il 35% rispetto allo stesso semestre del 2021 (517 attacchi) e di circa il 30% primo trimestre 2022 (544 casi). Sfortunatamente l’Italia figura stabilmente nella top 5 dei paesi più colpiti, avendo subito 31 attacchi nell’ultimo trimestre e 29 nel periodo corrispondente del 2021.

 

 

In questo contesto, un dato molto interessante riguarda gli obiettivi degli attacchi, costituiti prevalentemente da aziende con fatturato fino a 250 milioni di dollari e con un numero di dipendenti tra i 10 e i 1000. In altre parole, il target preferito risulterebbe composto da aziende di medie dimensioni, che siano sufficientemente grandi da detenere asset informativi (ed economici) interessanti per gli hacker ma non sufficientemente strutturati da resistere agli attacchi.
Oltre ai danni economici (blocco delle attività, richiesta di riscatto), le imprese e le organizzazioni attaccate devono fronteggiare anche il danno reputazionale. Questo aspetto assume una particolare valenza proprio in una delle fasi cruciali della digital transformation del sistema amministrativo e industriale italiano. Per tali ragioni appare fondamentale mantenere un elevato grado di fiducia nella transizione digitale da parte dei cittadini e degli amministratori locali, così come degli imprenditori e dei consumatori, che sarà verosimilmente proporzionale al livello di cybersicurezza raggiunto del sistema paese.

 

L’AGENZIA, LA STRATEGIA E LE POSSIBILI MISURE PER LE PMI

 

Dal punto di vista statale molto si è fatto e molto si sta facendo. In particolare, con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) si è passati da un sistema che vedeva le competenze in materia di cybersecurity frazionate tra una moltitudine di autorità ad un nuovo modello che concentra in capo all’ACN la grandissima parte di tali competenze. Inoltre, lo scorso 25 maggio sono stati pubblicati la strategia nazionale di cybersicurezza 2022-2026 ed il relativo piano di implementazione. Tale strategia, in particolare, ha fatto proprio l’approccio “whole-of-society”, secondo cui a svolgere un ruolo attivo sono chiamati tutti gli attori e, dunque, gli operatori privati, il mondo accademico e della ricerca, nonché la società civile nel suo complesso e la stessa cittadinanza.
Partendo dalla constatazione della crescente interconnessione dei servizi nello spazio cibernetico, è stata evidenziata l’esigenza di porre la cybersicurezza al centro della trasformazione digitale anche nella logica di conseguire l’autonomia nazionale strategica e definire adeguate strategie di cybersicurezza volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale.
Per realizzare questi obiettivi, la strategia fa ricorso da un lato alla messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico; dall’altro, si punta ad accompagnare il progresso culturale ad ogni livello della società, verso un approccio “security-oriented”, indispensabile per tutelare il sistema valoriale e democratico nazionale. Tra gli obiettivi prioritari figurano la gestione di una transizione digita le cyber resiliente della Pubblica Amministrazione e del tessuto produttivo, al fine di assicurare servizi sicuri ed incentivarne l’utilizzo da parte dei cittadini, e l’anticipazione dell’evoluzione della minaccia cyber, prevedendo, prevenendo ed arginando il più possibile gli impatti di eventuali attività cyber offensive.
A tal proposito, anche in considerazione dei dati sopraesposti, potrebbe essere opportuno prevedere policy volte ad incentivare il rafforzamento delle misure difensive da parte delle PMI italiane, ad esempio introducendole nel pacchetto Transizione 4.0. Infatti, servizi di screening del deep web e dell’evoluzione delle minacce a livello globale, così come di analisi delle vulnerabilità delle singole aziende, potrebbero innalzare di molto il livello di sicurezza delle PMI. A ciò si aggiungono nuovi servizi in modalità “as a service” (ad es. il SOC as a service) che ricordano i servizi di vigilanza di abitazioni ed edifici e che rendono l’idea di come potrebbe evolversi la sicurezza in ambito cyber, rispecchiando in qualche modo quelle usate per proteggere i luoghi fisici. In questo senso, dunque, è verosimile che anche la cybersicurezza non tenderà verso un livello di protezione totale, piuttosto verso una mitigazione del rischio fino ad livello ritenuto tollerabile, a seconda delle specifiche esigenze. Si convergerà da un lato verso la normalizzazione delle procedure sicurezza che, man mano, dovrebbero diventare sempre più familiari anche per dipendenti pubblici, dipendenti privati e cittadini. E dall’altro, per gli organi deputati (pubblici e privati), verso uno stato di vigilanza costante. Di conseguenza, come le attività di vigilanza nel mondo fisico, anche la cybersecurity non andrà mai in vacanza.

Direttore Area Digitale dell'Istituto per la Competitività (I-Com). Lorenzo Principali si occupa di economia dei media, servizi web e tlc. Ricercatore dal 2007, sino al 2012 ha collaborato con l’Istituto di Economia dei Media, svolgendo analisi e consulenze per i maggiori operatori nazionali e internazionali.